JP2008219150A - 移動体通信システム、ゲートウェイ装置及び移動端末 - Google Patents
移動体通信システム、ゲートウェイ装置及び移動端末 Download PDFInfo
- Publication number
- JP2008219150A JP2008219150A JP2007050190A JP2007050190A JP2008219150A JP 2008219150 A JP2008219150 A JP 2008219150A JP 2007050190 A JP2007050190 A JP 2007050190A JP 2007050190 A JP2007050190 A JP 2007050190A JP 2008219150 A JP2008219150 A JP 2008219150A
- Authority
- JP
- Japan
- Prior art keywords
- mobile terminal
- gateway device
- packet
- wireless
- wireless protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】複数の無線システムを同時・あるいは切り替えながら移動端末と通信相手とのパケットを中継するゲートウェイ装置において、移動端末とゲートウェイ装置間でIPsecを利用する無線システムがある場合に、IPsecの不要な無線システムにも適用してしまうことにより、不要な処理や効率が低下してしまう。
【解決手段】ゲートウェイ装置のセキュリティポリシーデータベースのセレクタに無線システムあるいはインタフェースを指定できるようにし、IKEによってIPsecの設定を行った移動端末に関するエントリをセキュリティポリシーデータベースに追加する際に反映する。あるいは、経路表にセキュリティポリシーデータベースを参照するか・否かを示す項目を設ける。
【選択図】図1
【解決手段】ゲートウェイ装置のセキュリティポリシーデータベースのセレクタに無線システムあるいはインタフェースを指定できるようにし、IKEによってIPsecの設定を行った移動端末に関するエントリをセキュリティポリシーデータベースに追加する際に反映する。あるいは、経路表にセキュリティポリシーデータベースを参照するか・否かを示す項目を設ける。
【選択図】図1
Description
本発明は、無線通信を利用した通信システムに係り、さらに詳しくは複数の無線通信システムを切り替えて、又は同時に利用可能な無線システムにおいて、利用される無線通信システム応じて移動端末とゲートウェイ間の暗号化・認証化通信と非暗号化通信とを切り替えて通信するシステムに関する。
近年ノート型パソコンやPDA(Personal Digital Assistant)のような小型軽量の端末の普及やインターネットの爆発的な普及により、自宅やオフィス以外の外出先においても端末を使用できる環境が整備されている。また、第3世代携帯電話、PHS、無線LANを利用したホットスポットサービスなど公衆無線システムとして利用可能な無線システムが増加しており、その普及と共にさまざまな規格やサービスが登場している。さらに、WiMAX(IEEE802.16e)に代表されるOFDM(直行周波数分割多重)を利用した広帯域で高速な無線のサービスや、4Gと呼ばれる第4世代携帯電話システムに向けて新たな周波数帯の割り当て、標準化・研究開発が進んでおり、今後も新たなシステムの登場が予想される。
このような新たな無線システムは、既存のシステムと共存しながら普及が進むと考えられ、複数の高速な無線システムを利用可能な環境が提供されていく。移動端末においても、ソフトウェアラジオやリコンフィギュラブル・プロセッサと呼ばれる技術により、ハードウェアを変更することなしに、様々な無線方式や機能を追加したり、利用される無線システム変更したりすることが可能となりつつある。
一方、移動体通信システムを利用する端末の増加や通信速度の高速化に従って、電波資源の需要が拡大しており、利用可能な無線周波数が逼迫している。その解決策の一つとしてコグニティブ無線と呼ばれる技術が注目されている。コグニティブ無線では、無線通信環境を認識することによって、地域、周波数及び時間ごとに周波数の利用状況を踏まえて動的に無線システムを選択し、切り替えながら通信するものである。このように、複数の無線システムを同時に利用したり、切り替えたりしながら通信相手と所望の品質を得て通信することが必要となっている。
上記のように複数の無線システムを同時に利用したり、あるいは動的に利用システムを切り替えて利用したりする場合で、移動端末と通信相手とに接続して移動端末宛のパケットを中継しているゲートウェイは、各無線システムの状態に応じて動的に無線システムを選択し、通信経路及びインタフェースを切り替える。このような動作を行う移動端末に対して、通信経路又は無線通信システムに依存しないIPアドレスを割り当てることによって、通信相手に対して移動端末が使用している無線システムの変化を隠蔽し、無線端末と通信相手の通信が中断したり、IPアドレスの変化を相手に通知したりすることなく通信を継続することができる。このような機能を実現するために、ゲートウェイシステムは、モバイルアンカーポイントと呼ばれる機能を提供し、移動端末宛に割り当てられたIPアドレスを無線システムに依存することなく中継するようにシステム設計を行うことが考えられる。
このときに、移動端末とゲートウェイ間の通信経路によっては、例えば、無線LANのように暗号化に対応していない基地局や、暗号化を利用している場合でも基地局の使用者間で同じ暗号鍵情報を利用している場合には、通信内容を容易に傍受することができる。このことを回避するために前記ゲートウェイと前記移動端末との間の通信を、IPsecと呼ばれる暗号化通信より保護することが考えられる。
IPsecは、RFC2401によって規定されており、送信者と受信者の間で安全な通信を行うために共通鍵によってパケットを暗号化・認証化することが可能である。
S.Kent, R. Atkinson, 「Security Architecture for the Internet Protocol」 RFC2401, 1998年11月 J. Laganier, 「draft-ietf-netlmm-mn-ar-if-01.txt 」, 2006年6月
S.Kent, R. Atkinson, 「Security Architecture for the Internet Protocol」 RFC2401, 1998年11月 J. Laganier, 「draft-ietf-netlmm-mn-ar-if-01.txt 」, 2006年6月
前述したように複数の無線システムを利用して、動的に利用システムを切り替える場合において、移動端末とゲートウェイとの間の経路に暗号化に対応していない基地局や、基地局の暗号化を利用している場合でも基地局の使用者間で同じ暗号鍵情報を利用している場合には、通信内容を容易に傍受することができる。このことを回避するために前記ゲートウェイと前記移動端末との間の通信を、無線システム応じてIPsecと呼ばれる暗号化通信より保護することが考えられる。IPsecは、RFC2401によって規定されており、RFC2401によると、送信者と受信者の間で安全な通信を行うために共通鍵によってパケットを暗号化及び/又は認証化することができる。
一方、第3世代携帯電話に代表されるセルラシステムでは、基地局と移動端末の間の通信は暗号化が必須となっており傍受することは不可能であり、移動端末とゲートウェイ間で暗号化を行うことは必ずしも必要でない。このように、ゲートウェイにおいて動的に通信経路切り替えることにより、無線通信システムを切り替える処理を行っている場合には、消費電力の削減などの観点からセルラシステムを利用している場合には、ゲートウェイ及び移動端末の処理負荷を低減するために、IPsecを利用せず、無線LANなどの傍受の可能性のあるシステムを利用するときには、移動端末とゲートウェイ間のIPsecの暗号化・認証化によるパケットを保護することが考えられる。
IPsecを利用する場合には、送受信者間暗号及び認証処理に利用される共通鍵や暗号及び認証アルゴリズム、及びアルゴリズムに必要なパラメータ等を予め決めておく必要がある。この取り決めをセキュリティアソシエーション(SA)と呼ぶ。また、IPsec通信を行うノードにはどのパケットに対して適用するかの方針を示すセキュリティポリシーデータベース(SPD)が格納され、このポリシーに適合した通信相手と通信を行う場合には上記のSA情報に基づいて認証化及び/又は暗号化される。キュリティポリシーデータベースには、どのパケットに対して暗号化を行うかを示すセレクタと呼ばれる部分がある。セレクタには、たとえばパケットの受信先のIPアドレス、送信元のIPアドレス、プロトコル種別、受信先のTCP/UDPポート番号、送信元のTCP/UDPのポート番号やこれらの組み合わせが格納される。
図3にSPDの一構成例を示す。図3の(301)は、SPD中のエントリの番号を示し、(302)は、暗号化を行うパケットの送信元のIPアドレスを、(303)は、受信先のIPアドレスを示す。(302)と(303)は、単一のIPアドレスであってもよいし、IPアドレスの範囲やマスクで示されるアドレスでもよいし、全てのアドレスを示すANYでもよい。(304)は、上位レイヤのプロトコルであり、TCP、UDP、ICMP等を指定してもよいし、すべてのプロトコルを示すANYでもよい。(305)は、TCPやUDPを使用した場合の送信元のポート番号であり、(306)は、受信先のポート番号であり、単一のポート番号の指定のほかに範囲指定や全てのポート番号を示すANYなどでもよい。(307)は、セキュリティポリシーに基づいて、適用対象になったパケットに対して、IPsecを適用する、そのまま転送する、廃棄する等の動作を示す。(308)は、IPsecのトランスポートモード、トンネルモードを指定する。
前述したように、ゲートウェイ装置がモバイルアンカーポイントとして動作していると、移動端末が利用する無線通信システムが切り替わった場合にも同じIPアドレスを継続して利用することができる。このため、IPsecを利用する無線システムが存在していると、ゲートウェイ装置又は移動端末内のセキュリティポリシーデータベースには該当端末宛のパケットについてIPsecを適用することを示すエントリがあり、暗号化が不要な経路についても、IPsecを適用してしまうという課題がある。
さらに、3Gシステム等では、無線システムを効率よく使用するために、移動端末と基地局及び/又はゲートウェイ装置との間において、ユーザ毎のセッションに、送受信する音声、ビデオやデータの送受信に使用されるIPパケットのヘッダを圧縮するVJE圧縮やROHC圧縮等が行なわれることがある。しかし、IPsecを利用すると圧縮の対象となるIPパケットのヘッダ部分が暗号化されるために、圧縮処理を行うことが困難になり、無線システムの利用効率が低下してしまう。
また、これを避けるために移動端末とゲートウェイ間で経路を切り替える度に移動端末とゲートウェイのセキュリティポリシーデータベースの該当端末のエントリを削除したり、移動端末とゲートウェイ間でセキュリティポリシーデータベース/セキュリティアソシエーションを削除したりするためのIKE(Internet Key Exchange)などのシグナリングを動作させた場合、切り替え前に要する処理が発生することから切り替え時間が大きくなり、パケットのジッタや遅延が発生したり、パケットロスが発生する原因となりかねないという問題もある。
本発明の目的は、複数の無線システムを動的に切り替えながら利用可能な無線システムにおいて、移動端末と通信相手の両方に接続されて両者のパケットの中継を行うゲートウェイで、移動端末とゲートウェイ間の通信を安全に行うためのセキュリティの設定を確保することを目的とする。本発明の一形態として、本発明で利用される移動端末には、移動端末とゲートウェイ間の通信経路が変わって変化しないIPアドレスが割り当てられ、移動端末とゲートウェイにはセキュリティポリシーデータベース(SPD)とセキュリティアソシエーション(SA)に基づいて移動端末宛及び移動端末発のパケットを、移動端末とゲートウェイ間でIPsecによって暗号化通信を行う機能を有しているものとする。
本発明の無線システムには、移動端末が利用可能な無線システムのリンク状態を各無線システムの基地局で計測し、計測結果を収集する無線状態監視機能と、収集された結果に基づいて移動端末宛のパケットを中継する無線通信システムを決定する無線リンク選択機能を設ける。ゲートウェイ装置は、無線リンク選択機能の決定に基づいて、移動端末宛のパケットを中継する際に参照する経路表に反映し、所定の無線システムを通してパケットが送信されるようにする。
さらに、ゲートウェイ装置は移動端末宛のパケットを送信する無線システムあるいはインタフェースを決定した後に、どのパケットをIPsecで暗号化・認証化するか、そのまま送信するかを決めるためにセキュリティポリシーデータベース(SPD)を参照する。SPDにはどのようなパケットに対して暗号化・認証化を規定している一種のデータベースであり、移動端末あるいはゲートウェイ装置ではパケットの送受信・中継を行う際にはSPDを参照して動作を決定する。本発明を適用するゲートウェイでは従来の図3に示すセキュリティポリシーデータベースのセレクタ部分に、無線通信システムあるいはインタフェースを示す条件を追加した、図4を使用する。従って、移動端末に対応するSPDにはインタフェースに対応した項目が記述されたエントリが存在する。その他にインタフェースに対応した部分を除く他のセレクタ部分が同じで、動作が異なりIPsecを適用しないことを示すエントリが存在する場合もある。
第2の解決手段として、ゲートウェイ装置が移動端末宛のパケットの無線システムで中継するために参照する経路表に対して、セキュリティポリシーデータベースを参照する・しないを示す項目を設ける。ゲートウェイ装置は、IPsecを使用する無線システムに切り替える場合には、前記の経路表の該当する移動端末宛のパケット経路を該当する無線システムを通るように経路表のエントリを変更する。その際に、セキュリティポリシーデータベースを参照する・しないを示す項目についても参照するように設定する機能を有する。あるいは、経路表に該当端末宛の経路を複数設定できる場合には、IPsecを利用する経路についてはセキュリティポリシーデータベースを参照する・しないを示す項目についても参照するに設定したエントリが存在し、無線システムを切り替えるために経路表を操作する時には、該当する無線システムを通るように経路表のエントリの到達距離を他のものより短くすることにより実現する。
本発明によると、移動端末と複数の無線システムを経由して通信可能で、移動端末が利用可能な無線システムを動的に切り替えて通信可能な無線システムにおいて、移動端末とゲートウェイ装置間で暗号化・認証化が不要な場合はIPsecを使用せず、暗号化・認証化必要な無線システムを利用する経路時のみ暗号化を行うことが可能となる。これにより、ゲートウェイ装置における暗号化・認証化による負荷の低減、IPヘッダ圧縮の適切な利用が可能となり、無線システムを効率よく使用することできる。
移動端末とゲートウェイ間の通信において、無線システムに対応してIPsecの適用・不適用を切り替えることが可能となり、保護された通信を効率よく提供することが可能となる。
図1は、本発明の実施例を適用した移動通信システムの一構成例である。図1において、(101)はゲートウェイ装置であり、移動端末(105)と無線LAN基地局(102)、3G携帯電話基地局(103)、WiMAX基地局(104)など複数の無線システムを利用した経路で接続されて通信可能である。さらに、ゲートウェイ装置は移動端末との通信相手(106)とインターネット(110)内のルータ(107)を経由して接続されており、通信相手からの移動端末宛のパケットを中継する機能を有している。(108)は、無線状態監視装置であり、各種の無線の基地局から受信信号強度や信号対ノイズ比、接続端末数、送受信レート、送受信パケット数・バイト数などの無線の状況や品質についての情報を収集することができる。(109)は、無線リンク選択機能であり、(108)が収集した無線の状況や品質に基づいて、移動端末毎に使用する無線システムを決定し、その結果についてゲートウェイ(101)に対して通知する機能を有する。無線状態監視機能(108)と無線リンク選択機能(109)はそれぞれ独立した装置であってもよいし、ゲートウェイ装置などに内蔵することも可能である。
次に図2を用いてシステム全体の動作について述べる。移動端末(105)は、各無線システムのサービスエリア内に入るとゲートウェイ装置と接続を行うことでインターネット(110)などに接続された他の端末と通信を行うことが可能となる。ゲートウェイ装置への接続は各無線システムに依存しており、たとえば3G基地局を経由した場合には、移動端末(101)とゲートウェイ(103)との間でPPP(Point to Point Protocol)によって、WiMAXを利用した場合にはWiMAXで使用されるR6と呼ばれるインタフェースで、無線LAN(102)の移動端末(102)とゲートウェイ(101)との間にIPsecトンネルによって接続される。
まず、移動端末(105)は、電源の投入などにより3Gのサービスエリアに入ると3G基地局と無線リンクのセットアップを行い(201)、さらにゲートウェイ装置とのPPPのセットアップを行う。PPPのセットアップでは移動端末に対する認証処理やIPアドレスの割り当て処理などが行われる。この後、移動端末(105)と通信相手(106)は、3G基地局(103)とゲートウェイ(101)を介して通信することが可能となる。次に、WiMAXの基地局のサービスエリアに入ると、3G経由によるゲートウェイへの接続を維持したままWiMAX基地局との無線リンクをセットアップし(204)、さらにASN−GWとの間で移動端末のパケットを転送するための認証処理を行ってトンネルのセットアップを行う(205)。ゲートウェイとの接続が完了すると、移動端末はIPアドレスを割り当ててもらうために、DHCP(Dynamic Host Configuration Protocol)の処理を開始する。まず、DHCP DiscoverをWiMAXの基地局経由でゲートウェイ装置(101)に送信し(206)、ゲートウェイ装置はDHCP Offer(207)で候補となるIPアドレスを返す。移動端末は、候補となったIPアドレスをDHCP Requestでゲートウェイ装置に割り当てを要求し(208)、ゲートウェイはDHCP Responseで割り当てを確定する(209)。この後、移動端末(105)と通信相手(106)は、WiMAX基地局(104)とゲートウェイ装置(101)を介して通信することが可能となる(210)。このときに割り当てられるIPアドレスは、3G基地局を経由で接続したPPP(202)で割り当てたものと同じものを通知する。WiMAXと3Gの接続の順が入れ替わった場合も同様に、WiMAXのDHCPで移動端末に割り当てたIPアドレスを、3GのPPPのセットアップ中に移動端末に対して割り当てる。
さらに、移動端末は無線LAN基地局(102)のサービス範囲に入ると、無線LANのリンクセットアップを行い(211)、DHCPなどを利用して無線LAN基地局が接続されているネットワークで使用されるローカルなIPアドレスを取得する(212)。このアドレスは、ゲートウェイ装置(101)と移動端末の間のIPsecトンネルの処理やIKEv2による鍵交換に利用する。その後、移動端末はゲートウェイ装置との間でIPsecのトンネルを確立するためにIKEv2を利用した認証と鍵交換を実施する。まず、IKE_SA_INIT Requestメッセージ(213)とIKE_SA_INIT Response(214)により、移動端末(105)とゲートウェイ装置(101)の間のIKE_SAを確立するためのパラメータの交換及び鍵計算用のパラメータを行う。これに成功すると、以降のメッセージの交換を暗号化し保護することが可能となる。続けて、IKE_AUTH RequestとIKE_AUTH Responseメッセージにより移動端末(105)とゲートウェイ(101)で互いに認証処理を行い、同時にCHILD_SAのパラメータ交換とIPsecのトンネルに使用する鍵の計算用のパラメータの交換を行う。その他に、IKE_AUTH RequestとIKE_AUTH ResponseメッセージにはConfigurationペイロードと呼ばれるフィールドにより、移動端末にInternalのIPアドレスなどを割り当てるなどの各種の設定を行う。Configurationペイロードで移動端末に割り当てられるInternalのIPアドレスは、3GのPPPやWiMAXのDHCPで割り当てたものと同じIPアドレスを割り当てるものとする。この後、移動端末(105)と通信相手(106)は、WLAN基地局(102)とゲートウェイ装置(101)を介して通信することが可能となる(217)。
無線状態監視機能は(108)、各無線システムの基地局から受信信号強度や信号対ノイズ比、接続端末数、送受信レート、送受信パケット数・バイト数などの無線の状況や品質についての情報の収集を定期的に行う。(218)は、WiMAX基地局からの収集であり、(219)は3G基地局からの収集であり、(220)は無線LAN基地局からの収集である。無線リンク選択機能は(109)は、無線状態監視機能(108)が収集した各基地局からの無線状態の情報を集め(221)、移動端末宛にパケットを中継する際に使用する無線システムを決定し、ゲートウェイに通知する(222)。ゲートウェイは選択された無線基地局と通るように経路を選択してパケット中継する(223)。
この際、どのパケットに対して適用するかの方針を示すセキュリティポリシーデータベース(SPD)には、従来例では、図3に示すような形で格納される。(301)は、ルールの番号であり、(302)はパケットの送信元IPアドレスであり、アドレス単体でも範囲あるいはPrefix長、全てのアドレスを示すANYで指定してもよい。(303)はパケットの受信元IPアドレスであり、アドレス単体でも範囲あるいはPrefix長、全てのアドレスを示すANYで指定してもよいで指定してもよい。(304)は、上位レイヤのプロトコルの指定で、TCP、UDP、SCTP、ICMPや全てのプロトコルタイプを示すICMPでもよい。(305)(306)はそれぞれ送受信ポート番号であり、(307)は条件に合致した場合に、パケットに適用する動作を記述し、IPsecを適用するなどの動作やIPsecの暗号アルゴリズムや認証アルゴリズムなどを設定する。さらに308はトンネルなどのIPsecのモードを示す。(309)(310)は、10.0.0.10のアドレスを割り当てた端末のエントリ例であり、(309)はゲートウェイ(101)に置いて移動端末(105)宛のパケットが全てIPsecを適用するエントリであり、(310)は移動端末から通信相手に向かうパケットがIPsecを適用されて送られてくること示している。
ゲートウェイ装置(101)と移動端末(105)が無線LAN経由で接続され、IKEv2によって図3に示すエントリが作成されると移動端末宛のパケットの全てにIPsecが適用されてしまう。このため、3G経由やWiMAX経由で送信する場合にもIPsecが適用されてしまう。この場合、3Gなどで無線区間の効率を上げるためにIPヘッダの圧縮使用していた場合、IPsecによってIP/UDP/RTPヘッダが暗号化されてしまうためにIPヘッダ圧縮を効率よく行うことができず、無線区間のリソースを無駄に使用したり、3Gなどで無線区間が暗号化されているシステムを経由する場合でもIPsecが適用されることにより暗号化・復号化の負荷がCPUにかかることにより電力が消耗し通話時間などが短くなったりするなどの問題が出る。このため本実施例を適用するゲートウェイ装置のセキュリティポリシーデータベース(SPD)は、図4に示すような構造をとる。このSPDには、図3に加えてインタフェースあるいは無線システムを示すフィールド(401)を追加しており、さらに無線LANによるIKEv2のネゴシエーションで追加されるSPDとして、無線LAN用(402)(403)に加えて、移動端末が使用中の無線システムの関係するエントリを追加されている(404)〜(407)。このエントリの動作には、IPsecを適用しないことを示すBypassを指定する。これにより、ゲートウェイ装置は無線LANを経由して移動端末にパケットが中継される場合のみ、IPsecが適用する動作が可能となる。
次に第2の実施例として、図5に示すようにゲートウェイ装置の経路表にセキュリティポリシーデータベース(SPD)を参照する・しないを示すフィールドを設けた場合の動作について示す。図5は、本発明を適用したゲートウェイの経路表の一構成例である。(503)は、経路表のエントリを示す番号であり、(504)はパケットのあて先のIPアドレスを示し、(505)は(504)のIPアドレスのマスク長を示し、(506)は転送する次のルータのアドレスを示す。(507)は、パケットを転送するインタフェースを示し、(508)は到達距離を示し、(509)はセキュリティポリシーデータベースを参照する・しないを示すフィールドである。エントリ(501)は、無線LANを使用する場合のエントリであり、(509)のセキュリティポリシーデータベースを参照する・しないを示すフィールドは、参照するに設定され、到達距離(508)は(502)の3Gに比べて短く設定されている。(502)は、3Gを使用する場合のエントリであり、(509)のセキュリティポリシーデータベースを参照する・しないを示すフラグは、参照しないに設定されている。この例では、無線システムとして無線LANが選択されている状態であり、たとえば3Gに経路が変更された場合にはエントリ(501)を削除するか、エントリ(501)の到達距離(508)をエントリ(501)より長くなるように変更する。
図6は、図5の経路表を変更するときのゲートウェイ装置の動作を示す。(601)は、イベントの種類分けであり、ゲートウェイ装置に移動端末が新たな無線システムを利用した接続かどうかを判断するものであり、新たな無線システムによる接続の場合には(602)、図5の経路表に移動端末の経路を追加する。さらに、追加された経路を通してIKEv2によってIPsecが利用されている場合には、図5の経路表の該当端末の該当インタフェースに使用するエントリのSPDを参照するフィールド(509)をONにする(605)。IKEv2によってIPsecの利用がなされていない場合にはOFFにする(606)。(601)において、新たな無線システムの接続でなく、無線リンク選択機能(109)によって利用する無線システムの切り替えた場合(607)、ゲートウェイ装置中の経路表の中で該当移動端末宛のエントリで現在使用しているインタフェースを持つエントリの優先順位(608)を下げるか削除し(608)、さらに該当端末移動端末宛で切替先のインタフェースを持つエントリの優先順位を上げるか追加を行う(609)。
図7は、パケットを転送する場合のゲートウェイ装置の動作を示す。(701)はパケットの受信処理であり、(702)は、受信パケットにエラーがないかどうかをチェックする。エラーがある場合には該当パケットの破棄を行う。(703)は、ゲートウェイ装置自宛のパケットがどうかであり、自宛の場合にはゲートウェイ装置内のアプリケーションで処理を行う(709)。ゲートウェイ装置自身宛でない場合には、パケットを中継する装置としての処理を行うために、図5の経路表の検索を行い、送信を行う無線システムあるいはインタフェースを決定する(704)。その結果、セキュリティポリシーデータベース(SPD)を参照する経路の場合には、SPDを検索し(705)該当端末宛でインタフェースも一致するものがあるときには(706)、セキュリティアソシエーションの関係に基づいて暗号化・認証化を行うためのパラメータを取得し、IPsec処理を実施する。IPsec処理を行ったパケットについては、再度経路表を検索し(704)、出力インタフェースを決めてパケットの送信を行う(708)。
図8はゲートウェイのハードウェア構成例である。(801)はCPUであり、(802)はメモリであり、(804)はネットワークインターフェースである。ネットワークインターフェースは複数存在する。(803)はシステムバス/スイッチを示している。CPU(801)、メモリ(802)、ネットワークインターフェースは(804)はシステムバス/スイッチ(803)を通じて互いに接続されている。CPU(801)は、メモリ(802)に格納されているプログラムによって動作する。ゲートウェイはメモリ(802)に移動端末とパケットを保護するためにIPsec通信を行う場合に使用するセキュリティアソシエーション(807)やセキュリティポリシーデータベース(806)、パケットを次に転送するための経路表(805)などのデータを持つ。
次に第3の実施例として、移動端末(105)の振る舞いについて説明する。
図9は、移動端末(105)の一構成例であり、(901)はCPUであり、(902)はメモリであり、(904)は無線LANインタフェースであり、(905)は3Gシステムのインタフェースであり、(906)はWiMAXのインタフェースである。それぞれの無線システムのインタフェースには、各無線システムに応じた信号処理部、AD/DA変換部、無線周波数部、アンテナなどから構成され、アンテナを介して基地局(102)〜(104)と無線通信を行う。(903)はシステムバス/スイッチを示している。CPU(901)、メモリ(902)、無線システムインターフェース(904)〜(906)、ディスプレイインタフェース(910)、マイク(911)、スピーカ(912)、キーボードインタフェース(913)等はシステムバス/スイッチ(903)を通じて互いに接続されている。CPU(901)は、メモリ(902)に格納されているプログラムによって動作する。移動端末のメモリ(902)にゲートウェイ装置(101)と通信するパケットを保護するために使用するIPsec通信のセキュリティアソシエーション(909)やセキュリティポリシーデータベース(908)、パケットを次に転送するための経路表(907)などのテーブルを持つ。(904)〜(906)の各無線システムのインタフェースは各基地局(102)〜(104)と通信を行う他に、各無線システムの通信品質を測定する機能を持つ。
移動端末(105)のセキュリティポリシーデータベースは、ゲートウェイ装置(101)と同様に図4、あるいは図3の同様に格納されている。図4のような構成で格納されている場合には、移動端末(105)は無線LANを経由してゲートウェイ装置(105)にパケットが送信する場合のみIPsecが適用されるように図4中の動作のフィールドにIPsecが設定され、その他の無線システムを利用する場合には動作のフィールドにIPsecが適用されないことを示すBypassが設定される。
図3の形をとる場合の移動端末の経路表にはゲートウェイ装置(105)と同様に図5の経路表が使用される。このときに、新たな無線システムが接続された場合の動作を図10に示す。(1001)は、イベントの種類分けであり、移動端末が新たな無線システムを利用した接続かどうかを判断するものであり、新たな無線システムによる接続の場合には(1002)、図5の経路表にDefault Gatewayの経路として接続されたインタフェースを追加する。さらに、追加された経路を通してIKEv2によってIPsecが利用されることがネゴシエーションされた場合には(1004)、図5の経路表の該当端末の該当インタフェースに使用するエントリのSPDを参照するフィールド(509)をONにする(1005)。IPsecが利用されない場合にはOFFにする(1006)。(1001)において、新たな無線システムの接続でなく、各無線システムの通信品質を測定した結果により送信に使用する無線システムの切り替えた場合(1007)、移動端末のDefault Gatewayのエントリで現在使用しているインタフェースを持つエントリの優先順位を下げるか削除し(1008)、さらにDefault Gatewayを該当する切替先のインタフェースを持つエントリの優先順位を上げるか追加を行う(1009)。
次に移動端末(105)が複数の無線通信システムを利用して通信可能な状態で、パケットを送信する際の動作について図11を用いて述べる。移動端末は、図2の動作の後に通信相手(106)と複数の無線システムとゲートウェイ装置(101)を介して送受信することが可能になり、接続されている全ての無線システムから受信可能な状態となる。移動端末(105)は、自身に内蔵する無線のインタフェース(904)〜(906)から各無線システムの受信信号強度や信号対ノイズ比、送受信レート、送受信パケット数・バイト数などの無線の状況や品質についての情報の収集を定期的に行い、接続されている無線システムの中から通信品質のよいもの、例えば受信信号強度の高いものや送受信レートの高いものを選択して送信を行う。移動端末に送信パケットがない場合やアイドル状態を利用して定期的に(1101)、各無線システムのインタフェースから無線の状態を検知し(1102)、送信に使用する無線通信システムを決定する(1103)。この動作は、移動端末(105)が単独で実行してもよいし、基地局ネットワーク内の無線状態監視機能(108)と無線リンク選択機能(109)からの情報や指示に基づいて決定されてもよい。その結果、それまで利用されていた無線通信システムと同じ場合には(1004)、アイドル状態に戻る。異なる場合にはDefault Gatewayを該当する無線システムに変更し(1005)、IPsecを使用しない無線通信システムからIPsecを使用する無線通信システムに切り替える場合やその逆の場合には(1106)、セキュリティポリシーデータベースの変更処理を行う(1107)。(1101)において送信するパケットが存在する場合には、図5の経路表の検索を行い、送信を行う無線システムあるいはインタフェースを決定する(1108)。その結果、セキュリティポリシーデータベース(SPD)を参照する経路の場合には、SPDを検索し(1109)該当端末宛でインタフェースも一致するものがあるときには(1110)、セキュリティアソシエーションの関係に基づいて暗号化・認証化を行うためのパラメータを取得し、IPsec処理を実施し(1111)、出力インタフェースを決めてパケットの送信を行う(1112)。
WLAN 無線LAN
3G 第3世代携帯電話
DHCP Dynamic Host Configuration Protocol
IKE Internet Key Exchange
SPD Security Policy Database
SA Security Association
3G 第3世代携帯電話
DHCP Dynamic Host Configuration Protocol
IKE Internet Key Exchange
SPD Security Policy Database
SA Security Association
Claims (10)
- 複数の無線プロトコルを利用可能な移動端末と接続され前記移動端末と、前記複数の無線プロトコルを利用して通信可能なゲートウェイ装置と、前記複数の無線プロトコルのそれぞれに対応した基地局から構成される移動体通信システムであって、
前記ゲートウェイ装置は、前記移動端末との通信に利用される無線プロトコルに応じて通信経路を変更する場合に、前記移動端末と前記ゲートウェイ装置との間で暗号化又は認証化して通信するか否かを切り替えることを特徴とする移動体通信システム。 - 請求項1に記載の移動体通信システムであって、
前記基地局は、移動端末が利用可能な無線プロトコル毎のリンク状態を取得する手段を備え、
前記ゲートウェイ装置は、前記基地局から取得した前記無線プロトコル毎のリンク情報に基づいて、前記移動端末が利用する無線プロトコルを決定し、該決定された無線プロトコルに応じて通信経路を変更することを特徴とする移動体通信システム。 - 複数の無線プロトコルを利用して通信可能な移動端末と接続されるゲートウェイ装置であって、
前記移動端末と通信するパケットを送受信するインタフェースと、
前記インタフェースを介して前記移動端末にパケットを中継する際に利用される前記無線プロトコル毎に、前記パケットを暗号化又は認証化するかを記述しているセキュリティポリシーデータベースと、を備え、
前記複数の無線プロトコル毎のリンク情報に基づいて、前記移動端末との通信に利用する無線プロトコルを決定するゲートウェイ装置。 - 請求項3に記載のゲートウェイ装置であって、
前記移動端末が利用可能な無線プロトコルが変更される場合には、前記変更される無線プロトコルに対応するセキュリティポリシーデータベースのエントリを追加、削除又は変更することを特徴とするゲートウェイ装置。 - 請求項3に記載のゲートウェイ装置であって、
パケットを前記移動端末に中継する際に、該移動端末宛のパケットを前記無線プロトコル毎に、転送先のインタフェース又は転送先のルータを記述した経路情報を保持し、
前記経路情報には、前記無線プロトコル毎に前記セキュリティポリシーデータベースを参照するか否かを示す情報が含まれること特徴とするゲートウェイ装置 - 請求項5に記載のゲートウェイ装置であって、
前記移動端末宛のパケットを、移動端末との間で、交換された鍵に基づいて暗号化又は認証化した無線プロトコルで送信する場合には、前記セキュリティポリシーデータベースを参照し、
前記移動端末宛のパケットを、移動端末との間で、前記鍵を交換していない無線プロトコルで送信する場合には、前記セキュリティポリシーデータベースを参照しないことを特徴とするゲートウェイ装置。 - 請求項3に記載のゲートウェイ装置であって、
前記移動端末宛のパケットのIPヘッダを圧縮するヘッダ圧縮部を備え、
前記暗号化又は認証化をする無線プロトコルを利用して前記パケットを送信する場合は前記IPヘッダの圧縮を行わず、前記暗号化又は認証化を行う無線プロトコルを利用して、前記パケットを送信する場合には、前記IPヘッダを圧縮することを特徴とするゲートウェイ装置。 - 前記各無線プロトコルに対応した基地局を介して、複数の無線プロトコルを利用して通信可能なゲートウェイ装置と接続され、前記複数の無線プロトコルを利用可能な移動端末であって、
前記複数の無線プロトコルのリンク状態を計測する手段と、
該無線プロトコルのリンク状態に基づいて使用される無線プロトコルを選択する手段と、
前記選択された無線プロトコルに応じて通信経路を決定する手段と、
前記決定された通信経路に応じて送信されるパケットを暗号化又は認証化するかを切り替えることを特徴とする移動端末。 - 請求項8に記載の移動端末であって、
パケットを送信する際に利用される無線プロトコル毎に、前記パケットを暗号化又は認証化するかを記述しているセキュリティポリシーデータベースを備えることを特徴とする移動端末。 - 請求項9に記載の移動端末であって、
該移動端末が利用可能な無線プロトコルが変更される場合には、前記変更される無線プロトコルに対応するセキュリティポリシーデータベースのエントリを追加、削除又は変更することを特徴とする移動端末。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007050190A JP2008219150A (ja) | 2007-02-28 | 2007-02-28 | 移動体通信システム、ゲートウェイ装置及び移動端末 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007050190A JP2008219150A (ja) | 2007-02-28 | 2007-02-28 | 移動体通信システム、ゲートウェイ装置及び移動端末 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008219150A true JP2008219150A (ja) | 2008-09-18 |
Family
ID=39838722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007050190A Pending JP2008219150A (ja) | 2007-02-28 | 2007-02-28 | 移動体通信システム、ゲートウェイ装置及び移動端末 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008219150A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011114503A (ja) * | 2009-11-25 | 2011-06-09 | Nec Corp | データ通信用端末装置、端末動作制御方法、及び制御プログラム |
| JP2012510241A (ja) * | 2008-11-26 | 2012-04-26 | クゥアルコム・インコーポレイテッド | フェムト・アクセス・ポイントの安全な登録を実行するための方法および装置 |
| JP2013015605A (ja) * | 2011-07-01 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | 信号処理装置 |
| US10038669B2 (en) | 2012-03-02 | 2018-07-31 | Nec Corporation | Path control system, control device, and path control method |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
-
2007
- 2007-02-28 JP JP2007050190A patent/JP2008219150A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012510241A (ja) * | 2008-11-26 | 2012-04-26 | クゥアルコム・インコーポレイテッド | フェムト・アクセス・ポイントの安全な登録を実行するための方法および装置 |
| US8886164B2 (en) | 2008-11-26 | 2014-11-11 | Qualcomm Incorporated | Method and apparatus to perform secure registration of femto access points |
| JP2011114503A (ja) * | 2009-11-25 | 2011-06-09 | Nec Corp | データ通信用端末装置、端末動作制御方法、及び制御プログラム |
| JP2013015605A (ja) * | 2011-07-01 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | 信号処理装置 |
| US10038669B2 (en) | 2012-03-02 | 2018-07-31 | Nec Corporation | Path control system, control device, and path control method |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN112738114B (zh) * | 2020-12-31 | 2023-04-07 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6947483B2 (en) | Method, apparatus, and system for managing data compression in a wireless network | |
| JP4410070B2 (ja) | 無線ネットワークシステムおよび通信方法、通信装置、無線端末、通信制御プログラム、端末制御プログラム | |
| ES2741824T3 (es) | Procedimientos, aparatos y producto de programa informático para el traspaso entre sistemas | |
| US8265049B2 (en) | Method and apparatus for implementing generic access network functionality in a wireless communication device | |
| JP4196801B2 (ja) | 無線システムおよび移動局 | |
| US20050176473A1 (en) | Internet protocol based wireless communication arrangements | |
| US20110176476A1 (en) | Relay device, terminal device, and communication system | |
| TW200412761A (en) | System and method for integrating WLAN and 3G | |
| US11659446B2 (en) | Systems and methods for providing LTE-based backhaul | |
| CN112738855B (zh) | 一种应用在quic的基于多链路的传输方法和装置 | |
| KR20140069307A (ko) | 감소된 전력 무선 통신을 위한 시스템 및 방법 | |
| JP2010114905A (ja) | 共通ipアドレス付きの移動端末および無線装置 | |
| WO2014047936A1 (zh) | 数据传输方法、装置、终端及基站 | |
| WO2006094088B1 (en) | Wireless communication systems and apparatus and methods and protocols for use therein | |
| JP2008219150A (ja) | 移動体通信システム、ゲートウェイ装置及び移動端末 | |
| KR101480703B1 (ko) | LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법 | |
| WO2006102565A2 (en) | Optimized derivation of handover keys in mobile ipv6 | |
| US7526248B2 (en) | Extended wireless communication system and method | |
| JP5087779B2 (ja) | 通信モジュール、プログラム、および通信端末 | |
| Yousaf et al. | An architecture for exploiting multihoming in mobile devices for vertical handovers & bandwidth aggregation | |
| JP3979255B2 (ja) | 外部接続ルータの切替方法、切替元の外部接続ルータ及び切換先の外部接続ルータ | |
| JP6156843B2 (ja) | 無線通信方法、そのシステムおよび無線基地局 | |
| JP2008199137A (ja) | ハンドオーバ時のネットワーク接続方法、移動端末及びプログラム | |
| JPWO2018043220A1 (ja) | 基地局装置、基地局管理装置、通信制御方法及び通信制御システム | |
| JP2003338850A (ja) | MobileIPネットワークに適合したセキュリティアソシエーション管理サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090406 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090428 |